És útil el Sistema de Compliance que tinc a la meva empresa?
Els que ens dediquem al Compliance, i per tant ens ocupem, entre altres activitats, d’identificar i classificar els riscos penals als quals s’enfronten les empreses, assessorant-les en l’establiment de mecanismes interns de prevenció, gestió i control d’aquests, sentim amb freqüència la coneguda frase de “Si, a l’empresa complim i tenim un Compliance des de fa…”, des de quan sigui. Perfecte! Primer objectiu complert. Però, des que ho teniu què heu fet en matèria de Compliance? I és aquí on moltes vegades no obtenim cap resposta i, precisament, quan els professionals del sector hem d’entrar en joc.
L’essència, i al mateix temps l’objectiu, de comptar amb un Model de Prevenció de Delictes o un Sistema de Compliance no és, al cap i a la fi, res molt diferent al que busquem en el nostre dia a dia empresarial: d’una banda, establir una filosofia corporativa que reculli els valors i principis ètics que guiïn l’actuació de l’empresa i implantar una veritable cultura de compliment en aquesta. I per un altre, estar el millor preparats possible per si en algun moment hi ha un problema. Estar llestos per a protegir-nos i donar una resposta adequada davant l’adversitat.
Estem parlant de reaccionar i protegir la persona jurídica davant qualsevol delicte que s’hagi comès en el seu si i del qual aquesta pogués ser penalment responsable. En definitiva, parlem d’allò tan clàssic de “prevenir abans que curar.”
Si tenim un Sistema de Compliance des de fa anys, però en tot aquest temps no hem dut a terme cap actuació per a tenir-lo al dia, sinó que l’hem deixat guardat en un calaix per si algun dia el necessitàvem, tenim un problema perquè, segurament, disposem d’un Sistema de Compliance obsolet i de poca utilitat.
Dit d’una altra forma, no sols és altament recomanable comptar amb un Sistema de Compliance, com us comentàvem a l’inici de l’any (https://molins.eu/staging01/la-obligatoriedad-del-compliance/), sinó que aquest ha d’estar actualitzat, revisat i completament adaptat a les característiques i a les necessitats de l’empresa. És a dir, s’ha de mantenir el Sistema de Compliance útil.
En l’apartat 5 de l’article 31 bis del Codi Penal ja s’estableix la necessària verificació periòdica del Sistema i, per tant, la convenient actualització d’aquest. En aquest mateix sentit, la UNE-ISO 37301 fonamenta la idoneïtat, adequació i eficàcia dels citats models en un procés de revisió que permeti la seva verificació periòdica i la Circular 1/2016 de la Fiscalia General de l’Estat afirma que un adequat model d’organització ha de contemplar expressament els terminis i procediments de les verificacions periòdiques.
Així mateix, convé no oblidar que la revisió també es configura com un requisit a complir en cas d’existir una infracció rellevant, una eventual modificació en cas de canvis en l’empresa, per exemple, en la seva estructura de control o en la seva activitat.
La persona jurídica és un ens en constant canvi i el seu Sistema de Compliance ha d’evolucionar amb ella. Precisament per aquest motiu, s’ha de mantenir viu i sota un seguiment periòdic perquè es segueixi el ritme que es desenvolupa l’empresa.
Havent constat i aclarit la necessitat de tenir un Sistema de Compliance al dia, què podem fer perquè així sigui?
Primerament, hem d’analitzar si el Sistema de Compliance està adequadament dissenyat, és a dir, si compleix amb el Codi Penal i, en el seu cas, amb els estàndards nacionals i internacionals en matèria de Compliance. En segon lloc, hem de comprovar que aquest s’ha implementat correctament.
Si ens trobem davant un Sistema de Compliance com al que ens referíem anteriorment, aquell que es va guardar en el calaix poc després d’adoptar-se i durant uns anys, molt probablement mancarà d’una bona implementació ja que, per falta d’atenció, recursos o interès, haurà quedat desfasat.
En aquest cas, és essencial recuperar la base ja existent, aprofitar el treball realitzat i, a partir d’aquí, continuar construint per a comptar amb un Sistema actualitzat. Hem d’assignar i dedicar esforços (econòmics, humans, etc.) de manera constant per a mantenir-ho vigent i útil.
Recentment, en la Interlocutòria de 29 de juliol de 2021 en la qual el Jutjat Central d’Instrucció núm. 6 dicta el sobreseïment provisional de CaixaBank i Repsol – investigades per un presumpte delicte de suborn (article 427 bis del Codi Penal) i per un presumpte delicte de revelació de secrets (article 197 quinquies) del Codi Penal, el Tribunal afirma com a fonament que:
“[CaixaBank] va posar de manifest que existeixen multitud de controls i normes vigents en l’entitat en la data dels fets i que eren coneguts pels empleats. […] CaixaBank aporta un Model de Prevenció de Delictes que s’actualitza i millora de manera contínua”.
En aquest mateix sentit, i referint-se a Repsol, el Tribunal assegura que:
“L’entitat comptava amb un Model de Prevenció de Riscos instaurat […] i desenvolupa les actualitzacions d’aquest model en els anys successius a través d’una verificació periòdica i constant”.
Convé destacar que, en aquest cas, CaixaBank aporta documentalment la seva Matriu de riscos realitzada l’any 2011 i fins a cinc versions actualitzades de la mateixa (2012, 2016, 2019, 2020 i 2021), quedant patent l’actualització i manteniment del seu Model de Prevenció de Delictes d’acord amb l’evolució de l’entitat i els canvis normatius.
Finalment, el Tribunal conclou que ”no es tracta tan sols d’acreditar l’existència d’un Sistema de prevenció que va impedir la comissió del delicte, sinó que hauran d’establir-se quines mesures concretes podrien haver evitat precisament la comissió del delicte investigat”.
En definitiva, no es tracta únicament de comptar amb un Sistema de Compliance, sinó que aquest ha d’estar implementat i actualitzat, havent-se de revisar periòdicament perquè inclogui els controls adequats i vigents que previnguin aquells delictes susceptibles de ser comesos en el si de la persona jurídica i generar responsabilitat penal.
Clara Camps Rocabert, advocada del Departament de Compliance de Molins Defensa Penal.